Follow

Kann mir von den Leuten die was mit Gestaltung und Webdesign machen eins erklären was das für ein furchtbarer Trend ist, dass ich beim Einloggen erst nur den Usernamen und dann auf einer weiteren Seite das Passwort eingeben kann?

Finde ja die Ideen, die ich als Antwort hier bekomme, zum guten Teil mindestens so abenteuerlich wie dieses UI Element an sich.

@leah Das ist für Attacken, damit man direkt sieht, ob der Username existiert oder nicht. Vereinfacht das ausfiltern.

@franzi @leah Für den Angreifer? Bei beidem gleichzeitig weiß er wenigstens nicht welcher Wert falsch war (Wenn die Fehlermeldung entsprechend vage ist.). 🤔

@leah
+1, kenne das bisher zwar hauptsächlich von Google, finde es aber da schon eher meh, und nicht nur weil es KeePass kaputt macht. 😶

@FluffyMonoceros @leah Kenne das auch nur von Google (und verdrängt bzw., kommt da dann auch nur alle naselang vor), aber den Sinn verstehe ich auch nicht? Wozu ist das gut?

@leah Ich hab das immer als Bestandteil von SSO Lösungen verstanden:

Du gibst deinen Namen an, dann wird geschaut welches Authentifizierungsbackend zuständig ist und gegebenfalls fragt dich das dann nach dem Passwort.

@blabber @leah Oder nach einem anderen Authentifizierungsmerkmal. So wurde es nämlich in einem frischen Login Portal umgesetzt, so dass Passwort nicht unbedingt der erste Faktor sein muss.

@leah Brute-Force-Attacken werden damit erschwert.

@nasi Das wirkt sich auf Brute-Force Attacken nicht nennenswert aus. Es ist nur schlechtes UI/UX.

Hinge Deine Login Security davon ab, hätte diese Seite ein weiteres, gröberes Problem.

@MacLemon Interessant. Jetzt frage ich mich, woher ich diese Info hatte...

@leah "Verhinderung" von Passwort-Managern? Es gibt ja durchaus Webseitenbetreiber, die der Meinung sind, dass Passwort-Manager eine Gefahr (für wen auch immer) sind und daher "verhindert" werden müssen... Da wird ja auch gerne autocomplete="no" und so verwendet... w3schools.com/tags/att_input_a

@leah
Ähnlich dämlich: Fritzboxen, die alle existierenden Benutzernamen in einem Dropdown anbieten. Erstens verrät das Accounts, zweitens mag mein Passwortmanager das auch nicht...

@leah Mich nervt's auch. Mein Tipp: Google hat's gemacht, warum auch immer, und jetzt machen's andere nach.
Weil Google ja so gut user interfaces kann^^

@leah Du sollst dich nicht mit Username/Passwort einloggen, du sollst dich gefälligst mit deinem Facebook/Twitter/Instagram-Profil da anmelden, damit sie mehr Daten über dich kriegen.

@leah Am besten noch kombiniert mit verhindertem Copy&Paste. 😉

@leah
Ja willst du etwa automatisierte Logins haben?
Dann schaust du ja garnicht auf die Seite und siehst die Werbung 🤷‍♂️

@leah ich vermute das bringt einen weitern Seitenbesuch in der Statistik und für den Werbeträger. Ähnlich dem das man Artikel in fünf aufteilt, damit man statt einer Werbeanzeige dann fünf zeigen kann.

@leah finde die Idee mit alternativen Auth-Backends je nach User (gerade bei Enterprise-gerichteten Tools) den einzigen Grund, den ich ansatzweise legitim fände

@rami @leah Late to the party, but… vielleicht wollen sie den UI-Flow entkoppeln, um später Paßwörter durch einen anderen Authentifizierungsfaktor ersetzen zu können. Z. B. Biometrie, Magic Link per Mail, physischer Token, you name it.

@leah Ein Unfall ist's, nichts weiter.

Wenn ich schon Prüfe ob der Username funktioniert bevor ich zur Passwort eingabe komme machts das dem Angreifer sogar potentiell einfacher.

Das einzige was ich mir als valide, aber nicht als tolle, Begründung vorstellen könnte wöre wäre die social logins zu promoten: "ein klick und du bist angemeldet".

@devinius @leah Wie denn das? Einem brauchbaren Bot ist das UI egal, der schickt im Hintergrund direkt ans Backend.

Sign in to participate in the conversation
chaos.social

chaos.social - because anarchy is much more fun with friends.
chaos.social is a small Mastodon instance for and by the Chaos community surrounding the Chaos Computer Club. We provide a small community space - Be excellent to each other, and have a look at what that means around here.
Follow @ordnung for low-traffic instance-related updates.
The primary instance languages are German and English.